报告概要
2011年,中国企业面临的安全风险开始变得多样化,并向高风险方向发展。以CSDN、天涯等一批著名网站遭遇"拖库"攻击为标志,国内企业(尤其是存储了用户资料的企业)面临极大的安全风险,包括网游、网购等行业因为安全措施不到位而造成用户资料泄漏的情况时有发生,给整个行业带来严重的信任危机。
从警方公布的数据和案例来看,各地针对企业的恶性黑客攻击均呈现上升势头,单单在北京,2011年警方就侦破网络违法犯罪案件2600余起,打掉各类犯罪团伙15个,抓获犯罪嫌疑人2600余人。其中,百合网遭竞争对手雇佣黑客攻击案、两黑客攻击最高检网站案等是其中影响力比较大的案例。
根据瑞星公司提供的数据,2011年,有199,665个网站曾被成功入侵(以页面计算),教育科研网站、网游相关网站和政府网站,是最容易被攻击植入木马的三种类型,分别占总体数量的31%、19%和15%。
2011年,几乎所有互联公司都曾遭遇了渗透测试、漏洞扫描、内网结构分析等安全事件,其中被黑客成功获取一定权限的公司,占总体比例的80%以上。根据瑞星公司进行的抽样测试,在访问量超过1万IP/日的网站中,存在10个以上严重漏洞的占75%,这些网站十分容易遭到黑客攻击。
在传统企业领域,绝大多数企业内网曾发生过安全事故,其中遇到恶意代码(病毒和木马等)侵入的比例占50%以上,黑客攻击和渗透占35%,钓鱼网站攻击和其它形式安全事件占10%。
根据统计,中国企业遭到攻击的IP地址,至少有65%来自国外,其中美国、日本、韩国是攻击IP三大来源地。在所有受攻击的企业和单位中,诸如国家机关、涉密单位、科研院校、金融单位等涉及国家机密和资金安全的企业和单位,遭到黑客攻击的技术含量、攻击频率都远高于普通企业。
国内企业的恶性竞争,已经延伸到了黑客领域。以百合网遭攻击为例(百合网自称是其合作网站遭攻击,而非百合网自身),是其竞争对手直接雇佣黑客发动DDOS攻击,导致遭攻击网站无法正常访问。
自动工控系统、打印机等智能设备成为黑客攻击企业的新途径,自从"超级工厂"病毒之后,关于黑客和病毒对于自动工控系统的威胁一直在持续发酵,由于这些系统传统上属于和互联网隔绝的部分,很少在安全上投入关注,所以一旦出现安全问题,就会变得不可收拾。
国内企业的"鸵鸟"心态给自身的安全带来严重隐患。从目前的情况来看,国内安全行业、白帽安全人员在给相关企业报告安全漏洞时,很少遇到负责任的反馈,有的甚至因为收到漏洞警告而恶言相向。这样一来,安全行业与企业之间无法形成良性互动,导致整体安全形势与国外相比有很大差距。
国内企业安全概况
进入2011年以来,国内多个行业发生较为严重的安全事件。包括互联网行业的密码泄漏(拖库攻击)、网游行业遭到针对服务器的挂马攻击、教育科研网站遇到的"黑链攻击"等等,均给相关行业带来严重影响。
互联网行业的密码泄漏由于关系到数千万普通网民的切身利益,使得该事件的影响在广大网民中持续发酵,而且由于个人资料属于基础性的攻击利用材料,黑客利用这些资料可以进行社会工程攻击探测、诈骗、网络钓鱼等不良活动,其带来的危害,还需要进一步观察。
针对网游公司服务器的攻击也成为2011年企业风险的重要部分。2011年12月,北京警方侦破一起黑客通过篡改网游服务器数据,非法盗取千万游戏币案件,抓获并刑事拘留犯罪嫌疑人6名,追缴赃款820余万元。类似情况,在网游行业多次发生。
教育科研类网站也是黑客窥测的主要对象,这些网站通常不存储用户资料、密码等黑客感兴趣的东西,但他们的硬件条件普遍较好,而且在搜索引擎中拥有较高的"权重",因此黑客攻击这类网站通常是为了在服务器上植入"黑链",帮助其他网站提高搜索权重,在搜索引擎中拥有较好的位置,或者是直接在上面储存非法信息供人浏览。
对于国内少量的高等级、涉密网络和单位来讲,2011年是更加危险的一年。来自国外IP的攻击有增无减,而包括数据库、自动工控系统、移动终端设备等爆出的安全问题,也使这些单位面临严重的安全风险。
根据瑞星公司的估算,2011年针对高等级涉密网络的攻击至少50万次,其中60%的攻击IP地址来自国外,美国、日本、韩国是排行最前的三个攻击来源地。但由于黑客攻击通常采取代理服务器的方式,这只能说黑客通过上述三国的服务器对国内企业进行了攻击,黑客国籍和攻击目的不能通过简单技术手段探知。
企业网站和内网安全状况不容乐观
在瑞星检测过的高等级涉密网络中,常见的安全问题包括XSS漏洞、文件读写权限不规范、泄漏敏感信息、弱口令等。尤其是弱口令和泄漏敏感信息,在90%以上的企业局域网中广泛存在。
即使在保密等级比较高的网络中,仍然有许多基本安全保护措施未得到贯彻执行,在抽样调查中,有45%的主机系统未及时弥补高风险补丁,70%以上的内部网存在弱口令(可被黑客轻易猜解),未安装防火墙,不能防范黑客攻击等问题。
针对目前国内企业所共有的安全危险,瑞星提出以下一些解决方法和改进措施:
1、解决SQL注入和XSS漏洞的方法:
所谓SQL注入,就是通过把SQL命令插入到WEB表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,导致攻击者可以利用该漏洞将脚本木马程序上传到服务器上进而获取到webshell。解决方法可以在程序中添加安全代码,禁止输入一些危险字符。XSS漏洞同样需要对输入进行过滤。
2、需要构建一套整体安全运营监控体系,及时有效发现黑客的入侵行为,对于安全事件能做到事前预防事后分析,检测服务器对于入侵,渗透等行为缺乏强有力的主动性观测手段,处于被动的安全防护阶段,缺乏对全网关键核心服务器、网络设备、安全设备的的关联分析。
3、在服务器上运行的程序,应该更改其默认后台页面名称,如发现疑似相关或相似漏洞入侵后,要及时更改后台管理员密码。
4、不定时更改管理员密码,并且密码长度应该八位以上字母、数字、特征字符混合的强度密码。定时查看系统日志,遇到可疑日志应该及时处理对应的程序或策略。
5、安装防范ARP攻击的软件。
6、杀毒软件与防火墙定时更新。
7、内网所有机器定期更新系统补丁。
8、尽量避免相同的密码可以登陆多台主机的情况发生,最好使用一台主机一个密码。
黑链成为黑客的生财之道
2011年里,以"黑链"方式赚取非法收入,成为黑客的"生财之道"。2011年1月,两名黑客因为攻击最高检察院网站,并在其中添加黑链代码而被提起公诉。检方指控,两名黑客范某和文某通过后门程序进入最高检反渎职侵权厅网站后台,在网页源代码中添加黑链代码,为其他网站提升搜索排名率,从中牟利。二人还用同样手段,先后侵入长沙质量技术监督局、抚顺政务公开网等8家政务网和3家企业网网站后台,添加黑链代码,非法获利6000余元。
根据瑞星公司的监测,教育科研类网站、政府网站、媒体日报类网站成为"黑链"猖獗的重灾区,这些网站的安全防护程度很低,但他们本身的品牌、网站权值、知名度都相当高,甚至被选入百度新闻新闻源、谷歌新闻源,当他们被黑客攻陷后,黑客在其服务器上加入黑链代码,当用户在搜索引擎中搜索时,就可能被引导到这些网站上,进而受骗。
详解"拖库"攻击
2011年12月,天涯、CSDN等一批著名网站数据库连续外泄,数千万网民的账号、密码等个人资料被公开,形成了2011年末影响整个互联网的安全大事件,给本已脆弱的互联网安全造成了巨大冲击。由于此次密码外泄发生在网站服务器端,用户在遇到这样的安全问题时几乎束手无策。
那么,"拖库"攻击是如何实施的,网站管理员应该注意哪些问题,"拖库"攻击有什么危害?本报告将对"拖库"攻击及其影响进行深入分析。
(1)什么是"拖库"攻击?
"拖库"本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。
"拖库"的通常步骤为:第一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。
第二,通过该漏洞在网站服务器上建立"后门(webshell)",通过该后门获取服务器操作系统的权限。
第三,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。
(2)"拖库"攻击的危害
企业分为多种类型,"拖库"成功之后,黑客会对数据库进行深加工处理,根据其实用程度、透露信息的多少出售给相关需求方,各种数据的利用方式是不同的(下面谈到的企业,仅是为了举例所用,并非真实遭到黑客攻击)。
媒体型互联网站
CSDN、新浪均属于这一类,他们主要提供新闻资讯,用户在注册其账户时很少透露个人资料。如果遭到拖库攻击,泄漏的是邮箱账户和密码的组合。这样的数据库,黑客通常会利用其猜测其它网站的密码,或者收集邮箱账户做成数据库,卖给垃圾邮件发送者。
SNS互联网站
天涯、人人、微博都属于这一类。SNS网站会有较多的个人信息,除了常用邮箱账户、密码之外,还会有常用的QQ号、手机号、家庭住址、教育信息(同学关系)等。黑客可以利用这些资料进行网络诈骗、网络钓鱼、"QQ借钱诈骗"等。例如,当用户在某个SNS网站拿到了某个用户的社会关系,可以向其同学、好友等发送QQ消息,"我的支付宝里没钱了,你帮我买张手机卡吧"。这种诈骗的成功率会比没拿到资料之前提高若干倍。
电商网站
这些网站的数据库主要包含了用户的购买行为、住址、手机号、支付账号等信息,主要用于网络诈骗、网络营销等。黑客可以攻击大型网站,将那些具有购买能力、经常购物的用户资料出售给其竞争对手。
根据相关数据,使用通常的广告方式,电商网站获取一个新用户的成本高达百余元。而购买这些黑客出售的资料,获取每个新用户的成本就会降低数十倍,甚至近百倍。而且这些灰色交易通常私下进行,被窃网站很难在短时间内发现。
旅行、酒店类网站
这些网站的数据更加全面,由于我国的酒店业要求身份证登记,所以一旦数据库外泄,会造成几乎所有的个人隐私曝光。例如,黑客可以根据客人订购的房间类型,推算其经济实力,进而对其进行网络诈骗;通过客人行程的变化、日程及所属公司,推算其公司运营机密等,这些都会带来严重后果。这些网站属于传统行业,相对来讲利润率较低,在安全上的投入不足,这就给用户带来更大的隐患。
银行、证券类网站
与上述企业一样,他们同样也掌握很多用户的信息,同样可能被拖库攻击。但有一点不同的是,银行和证券类网站属于安全等级较高的类型,他们一旦出现安全漏洞,在短时间内就会被黑客疯狂利用,造成巨大的金额损失。此前,某国家级银行曾经在手机验证流程上出现问题,在短短几个月就有数千万用户资金被窃,损失惨重。
企业内网拖库
这是一类专门针对企业内部网络数据库的攻击,尽管有些单位采用了"核心业务与互联网物理隔离"的方式预防黑客攻击,但该网在有些情况下对公众有限度开放,尤其是带有WIFI节点的网络,极其容易遭到黑客通过WIFI接入企业内网,窃取内网数据库。
2011年9月,福州某三甲医院发现,每隔一个月左右,医院内部信息系统的数据库就会留下"统方"痕迹,各种药品每月的实际处方量情况,被医院外部的人所掌握。后来,医院值守的工作人员发现,医院的数据库又出现异常情况,通过软件定位,发现异常端口的位置位于其中一座大楼的一层。工作人员立即赶到,把正在窃取医院数据的两名黑客抓住,黑客随即被扭送到派出所。据了解,一家三甲医院一个月的"统方",最高可以卖到数十万元。
(3)黑客"拖库"攻击的常用方法
根据瑞星互联网攻防实验室的统计,目前针对服务器端的黑客攻击,主要分为漏洞利用、弱口令及默认配置利用、远程运维风险、内部运营疏忽等。
1、漏洞利用是最容易出问题的大类。由于Web应用的开放性,Web应用程序越来越多,其带来的安全漏洞必然会随之增加,而且这些漏洞通过传统的网络安全设备无法识别,使得企业即使配置了传统的防火墙等设备,也无法阻止黑客针对这些漏洞的攻击。
2、弱口令和默认配置带来的危险。由于安全涉及到的软硬件设备非常庞大,包括操作系统、数据库、应用程序、路由器、移动终端等等,几乎所有的部分都可能有默认密码、默认账户权限等,如果安装部署的时候未改动,这些默认密码和设置就会被黑客利用,进而发动攻击。
3、远程运维风险。事实上,很多企业、网站都会给员工开通远程维护权限,比如网络编辑可以在家里发布文章、网络管理员可以远程维护服务器,由于在远程维护中涉及到多个环节,根本没办法做到像公司环境下那样的安全。例如,家里使用的PC经常会上不同的网站,可能被木马入侵,而公司里只允许安装商业程序的PC相对而言就会好很多。在这种情况下,远程运维就会存在一定风险。
4、内部运营风险。这包括内部员工的权限分配疏忽、不适当地服务器维护制度、数据库备份被滥用等等。事实上,CSDN外泄的数据库,就是因为未曾加密的数据库备份被放在服务器上,使得黑客可以进行直接下载。
(4)如何预防"拖库"攻击
针对上述风险,瑞星认为,应对企业传统安全产品、流程及运营进行全方位改造,以适应越来越恶劣的安全形势。
1、企业安全涉及多个部分,包括操作系统、数据库、WEB应用等软件,也包括服务器、路由器、网关等硬件,在部署如此庞杂繁复的IT系统时,应把安全作为首要考虑因素,尤其是网商、支付等涉及到大量普通用户的行业,更应该强调安全和效率的和谐统一,在两者发生冲突时,应把安全放在第一位。
2、安全管理的动态化和长期化。作为整个系统中最薄弱的环节,应用安全是最需要网络管理者关注的部分。尤其是目前漏洞、攻击方法层出不穷,以往每个月定时打补丁、查漏洞的方式已经不适应目前的安全需要,网络管理者应该把安全管理作为一种动态的行为,从系统建设开始生命周期,风险评估、安全加固、风险审计应该贯穿于整个过程中。
3、利用自动化工具来提升安全检测效率。在这方面,瑞星提供了许多简单有效的解决方案。2011年12月,瑞星公司发布了国内首个网站密码保护方案--"瑞星网站密码安全检测系统"。此系统可对网站密码库的安全性进行深度检测,扫描包括SQL注入、弱口令、XSS跨站攻击等弱点,并给出专业的分析报告和修复建议,帮助网站保护用户密码库。
4、在关键业务模块和核心领域,应做专业安全风险检测。在关键业务启动前,可以先由专业团队进行渗透性攻击测试,根据测试结果优化安全管理流程,对于容错性、安全风险等做出全面评估和修改。#p#
企业应采取的防护建议
对于企业信息安全的保护,应当从企业安全流程和安全产品两方面共同着力。一方面,信息安全不再是分散的、技术上的简单概念,还应该与企业管理、基础建设、应急处理等宏观设计统一起来;另一方面,安全厂商需要进一步思考在如何将自身各项产品线进行长期规划、有机结合,从而针对不同行业、不同规模、不同安全级别的企事业及政府单位,量身定制完整的安全解决方案。
除了使用质量良好的软硬件系统之外,有些共通的防护措施和思路,值得所有企业参考和借鉴:
(1)安全风险评估
企业应对自己的信息资产作安全风险评估,了解自身所面临的安全威胁,主要来自外部,还是来自企业内部?对企业威胁最大的攻击方式,是窃取资料,是用户无法访问自己的网站,还是用户容易访问到被仿冒的网站?
(2)针对急迫的问题迅速拟定执行解决方案
进行了风险评估之后,应该在短时间内针对急迫的问题迅速拟定执行解决方案,由公司整体组织和进行。由于有些安全风险无法在内部自行消除,所以需要求助于外部力量。比如:有的公司名字和品牌在搜索引擎上搜索,排在前列的都是仿冒的钓鱼网站,这时候就需要公司的市场部门去与相关公司沟通,针对用户发布安全警示等等。
(3)根据不同行业特性规划安全风险对策
安全风险对策应根据不同行业的特性来规划,例如:网游企业面临的危险,主要是DDOS攻击和用户资料失窃;IM软件除了盗号风险之外,还有传送恶意文件、诈骗链接等等问题。这些都可以通过流程来弥补和减弱影响,有的网游在用户进行装备交易时设定条件,对争议进行人工审核,这样就可以降低盗号带来的影响。
(4)建立严格的权限管理体系和资料审核机制
很多企业的安全风险因素来自内部,离职员工的恶意入侵,低权限员工试图获取超越权限的资料等等,这些都需要内部建立严格的权限管理体系和资料审核机制,单纯依靠安全软硬件无法彻底消除类似风险。
目前,包括瑞星在内的安全厂商都会提供专业的安全风险评估、协助制定安全流程和规则等服务,如用户遇到自己无法解决的安全问题时,可向专业厂商求助。#p#
总结
2011年,CSDN、天涯等网站发生的"泄密门",给国内企业安全敲响了警钟。像这样的专业网站在用户资料管理、安全流程上都存在种种问题,其余企业的安全防护水平可想而知。这既给行业带来压力,同时也给企业的发展带来巨大的动力,正是因为存在问题,企业们才需要向着更好的方向去努力。
除了"拖库"这样显而易见的攻击之外,针对iPad、安卓等智能终端的攻击,针对各种工控系统的攻击,针对涉密网络的攻击也层出不穷地出现,尽管目前尚未出现"泄密门"那样影响巨大的案例,但只要我们放松警惕,威胁就出现在懈怠之中。
最后,我们也看到目前国内的安全形势不容乐观,大多数企业对于漏洞和威胁并不重视,只要不出现问题就万事大吉;很多安全研究者因为不能通过正当途径获取利益,不得不靠灰色收入牟取利益;这样就使整个行业进入"有问题的企业不肯花钱,宁肯花钱搞定媒体,导致安全研究不赚钱,不赚钱的厂商无法提供更好的产品和服务,致使有问题的企业问题越来越多,最终安全炸弹被引爆"的恶性循环。
瑞星呼吁国内所有的安全厂商、企业和安全研究者,大家应该把精力放在共同对付安全威胁上,对于白帽研究者提供的漏洞和建议应给予足够的重视,对利用安全漏洞进行攻击和谋取不当利益的行为给以坚决反击,只有大家共同努力,才能把安全做到更好。